Bueno si usas ldap puedes usar este, no lo he probado pq solo tengo una pc linux, pero por lo que vi debe funcionar.
Configurando PAM/NSS de clientes Linux/Unix para que utilicen la Autenticación centralizada. Una vez que hicimos login en nuestro equipo cliente Linux/Unix estamos listos para configurar PAM/NSS para hacer que dicho equipo utilice nuestro servidor PDC para la autenticación y manejo de permisos. Para el ejemplo utilizaremos Debian/GNU Linux 5.0 como Sistema Operativo para el equipo cliente pero cualquier cliente Linux/Unix debe porder ser configurado. La única diferencia destacable en la configuracion es que en sistemas no Debian el archivo /etc/libnss-ldap.conf suele llamarse simplemente /etc/ldap.conf Instalemos en el cliente el software necesario: # aptitude install libnss-ldap libpam-ldap libpam-cracklib y respondamos a las siguientes preguntas: Configuración de libnss-ldap: * Identificador de recursos para el servidor LDAP: ldap://192.168.1.200/ * El nombre distintivo (DN) de la base de búsquedas: dc=esdebian,dc=org * Versión de LDAP a utilizar: 3 * Cuenta LDAP para root: cn=admin,dc=esdebian,dc=org * Contraseña para la cuenta LDAP de root: dejar vacío Configuración de libpam-ldap: * Crear un administrador de la base de datos local: No * ¿Hace falta un usuario para acceder a la base de datos LDAP? : No No olvidemos la seguridad Es importante destacar que cuando se nos preguntó "Contraseña para la cuenta LDAP de root:" durante la configuración de libnss-ldap no se respondió nada. La contraseña de root para la cuenta ldap es la que definimos en el servidor, en nuestro caso era ldapadmin, y la utiliza entre otras cosas samba para modificar la base de datos agregando usuarios y demás. Sin embargo nuestro servidor ldap es accesible desde toda la red y una red con cientos de clientes Linux/Unix que tengan almacenada la contraseña de root para acceder al servidor ldap no parece muy inteligente. Cualquier equipo que se vea comprometido tendrá la posibilidad de acceder y modificar sin restricciones nuestra base de datos. El parámetro "Cuenta LDAP para root:" también lo hemos establecido pero no tiene sentido alguno, cuando revisemos los archivos de configuración comentaremos la linea. Los archivos de configuración de PAM y NSS PAM y NSS utilizarán la misma base de datos ldap, por la tanto su configuración es igual. Editamos los archivos /etc/libnss-ldap.conf y /etc/pam_ldap.conf, y reemplazamos con lo siguiente (la configuración es muy similar a la del servidor): # DN base base dc=esdebian,dc=org # URI del servidor ldap, en nuestro caso es 192.168.1.200 uri ldap://192.168.1.200/ # Version de ldap a utilizar ldap_version 3 # Cuenta de root ldap # Esta linea no es necesaria, la comentamos o borramos # rootbinddn cn=admin,dc=esdebian,dc=org bind_policy soft pam_password crypt nss_base_passwd dc=esdebian,dc=org?sub nss_base_shadow dc=esdebian,dc=org?sub nss_base_group ou=group,dc=esdebian,dc=org?one Modificamos /etc/nsswitch.conf agregando ldap para las búsquedas y wins para resolver nombres: passwd: files ldap group: files ldap shadow: files ldap hosts: files wins dns Hacemos un backup de la configuración de PAM # cp -a /etc/pam.d{,.ORIGINAL} Y modificamos los archivos de configuración de PAM: /etc/pam.d/common-auth auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so /etc/pam.d/common-account account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so account requisite pam_deny.so account required pam_permit.so /etc/pam.d/common-password password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 password [success=2 default=ignore] pam_unix.so obscure crypt password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass password requisite pam_deny.so password required pam_permit.so /etc/pam.d/common-session La configuración de este archivo difiere de la del servidor PDC. En el servidor podemos crear las cuentas de usuario mediante smbldap-useradd agregando la opción -m de modo que el home de cada usuario se crea junto con el usuario. En los clientes el home de cada usuario no existe, por lo que se utiliza el módulo pam_mkhomedir.so para crear el home del usuario en caso que no exista. Eso es lo que motiva agregar la primer linea del archivo session required pam_mkhomedir.so session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session required pam_unix.so session optional pam_ldap.so Probando la configuración Primero que nada, detengamos el demonio nscd # /etc/init.d/nscd stop Ahora ya podemos hacer login en los clientes Linux/Unix con algún usuario del dominio Samba, utilizemos la cuenta de adminnuevo que creamos anteriormente: debian-cli login: adminnuevo Password: Linux debian-cli 2.6.26-2-686 #1 SMP Wed Nov 4 20:45:37 UTC 2009 i686 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Creating directory '/home/adminnuevo' adminnuevo@debian-cli:~$ Y hemos logrado hacer login con un usuario del dominio Vemos también como el módulo pam_mkhomedir.so definido en /etc/pam.d/common-session ha creado el home del usuario en el equipo local. Esto solo sucede para el primer login _____ De: Michel Martínez Garrido [mailto:michelm.hlgb...@tsociales.co.cu] Enviado el: Miércoles, 13 de Julio de 2011 06:03 a.m. Para: ed...@hlg.desoft.cu Asunto: [Fwd: Saludos Hermano] cuando verocos me vas a enviar lo que me dijiste que tienes para unir linux al dominio. > Hola colegas: > > Hace un tiempo el colega Carlos R. Laguna, compartió un manual de como > unie pcs > linux a un dominio samba, quisiera si es posible y alguien lo tiene a mano > que > me lo enviara, le estaría muy agradecido. > > Saludos y gracias de antemano > > > ***************************************************************** > Lic. Roilan Martínez Acebal > Esp. Principal Joven Club Cumanayagua 1, Cienfuegos > E_mail: roilan06...@cfg.jovenclub.cu > Jabber ID: roilan06...@jabber.cfg.jovenclub.cu > WebSite: http://cumay1.cfg.jovenclub.cu > Phone: +53 (043) 43 3309 > Remember the past, plan for the future, but live for today, > because yesterday is gone and tomorrow may never come. > > > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > -- S@lu2s Michel ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
